摘要:随着计算机及其网络应用的普及,信息技术的不断迅猛发展,信息安全保密的问题显得尤为重要。如何做好数字化信息的保密管理工作,是摆在我们保密部门面前的一个全新的课题。它既没有传统保密工作丰富经验可以借鉴,也没有行之有效的管理制度做保障。在计算机网络在信息安全行业内流行着这样一条80/20 法则:80% 的安全威胁来自网络内部。也就是说,黑客再狡猾、病毒再危险, 但真正的“威胁”还是来自内部的。所以,要想保证网络的安全,在做好边界防护(如:防火墙、入侵检测等)的同时,更要做好内部网络的管理。本文阐述有关信息安全的观点是: 安全保密的最高境界不是产品,也不是服务,而是管理。没有好的保密管理思想、严格的保密管理制度、负责的管理人员和实施到位的保密管理程序,就没有真正的信息安全保密。
关键词:信息;安全;保密;管理
0引言
随着高科技的日益发展,计算机及其网络应用的普及,信息安全保密的问题显得尤为重要。如何做好数字化信息的保密管理工作,是摆在我们保密部门面前的一个全新的课题。它既没有传统保密工作丰富经验可以借鉴,也没有行之有效的管理制度做保障。本文从我所信息安全保密管理方面阐述了如何做好信息安全保密工作。
1涉密信息系统面临的主要威胁
保密要害部门和部位是涉及国家、秘密比较集中的区域 , 一旦出现泄密 , 将给党和国家的利益带来严重损害。在检查中发现 ,这些要害部门多数都有涉密计算机网络 , 一些单位能够按照涉密网的要求制订相应的保密规定 , 采取相应的保密措施。但也有一些单位的涉密计算机及网络存在较多的泄密隐患 , 其原因有技术方面的 , 也有管理方面的 , 必须引起有关部门和单位的重视。重形式、轻实效 , 实际工作与保密规章制度相脱离。有不少单位建有较全面的保密规章制度 ,有的还将保密规定摆放在办公室的明显位置 , 还有的将保密规定打印出来贴在计算机上 ,保密规章制度随处可见。但在检查中发现 , 有些保密规定并没有落实。比如 , 有些计算机 ,虽然在显示器上标有明显的“上互联网计算机 , 严禁处理涉密文件”的标识 ,但其硬盘上仍存有大量的涉密信息和资料。涉密网络建设只注重防范外部入侵 , 内部没有访问权限限制。有的涉密计算机网络 ,虽然与互联网实现了物理隔离 , 但内部人员上网不设置帐号和密码 , 只要有一个 IP地址就可以上网浏览信息 , 并且每个办公室都设有网络节点 , 网络对内部人员完全开放。 在检查中, 通过对网络上连接的计算机进行漏洞扫描 , 发现有不少计算机操作系统存在严重漏洞 ,利用这些漏洞 可以下载到涉密计算机硬盘上的文件。 对这样不设防的网络 ,内部任何人员都可通过简单的操作获取网络上的涉密信息和部分计算机硬盘中的涉密文件。涉密计算机调拨过程中存在泄密隐患。有些单位在更新计算机时 ,对换下来的涉密计算机只做文件删除或用操作系统自带的格式化软件清除硬盘上的信息 ,然后即调拨给其他人使用 , 有的赠送给其他单位 ,还有的直接扔进库房。通过对调换下来的涉密计算机进行检查 ,利用数据恢复软件对硬盘上的数据进行恢复 , 复原了硬盘上 的全部信息 , 发现有不少被删除的涉密文件 , 没有被覆盖的删除文件几乎都可以复原。
涉密介质管理缺乏有效监督机制。 大多数单位对涉密介质的管理 , 仅停留在固定资产的管理上 , 移动硬盘、优盘、 软盘只登记型号、容量和领取人 ,对保存涉密信息的介质没有编号和任何标识。在使用过程中 , 许多使用者根本不考虑信息的涉密情况 ,需要保密的信息 与可公开的信息共同保存在同一个磁介 质上 , 而且既没有标识也没有编号 , 明放在桌面或不加锁的抽屉中 ,一旦出现丢失或非法复制 , 很难被察觉。安全保密产品使用不当。有的单位虽然在一些计算机上安装了隔离卡 ,解决了一台计算机既可以处理涉密文件又可以上互联网的问题 ,一旦有的使用者没有按规定在内网上处理涉密信息 , 而是在外网上直接处理涉密信息,并且将涉密文件保存在外网用的硬盘中 ,没有发挥隔离计算机的作用。还有些已经安装了干扰器的涉密计算机 , 在处理和打印涉密文件时,没有打开干扰器 , 没有对涉密计算机产生应有的电磁辐射防护。涉密笔记本电脑缺乏管理。有不少单位在笔记本电脑的使用过程中,没有按保密规定进行管理。有的出差时携带涉密笔记本电脑却没有采取必要的防范措施 , 一旦被盗或被人非法拷贝 , 其损失将无法弥补。有些人利用涉密笔记本电脑浏览互联网或收发电子邮件。对于共用的笔记本电脑 ,大部分使用者在归还前都会把自己需要的文件拷贝到其他介质保存 , 却往往忽视清除保存在硬盘上的信息,从而造成了一台笔记本电脑既处理涉密信息,又上互联网交替使用的现象。即使在使用后进行了涉密信息删除 , 但经对硬盘进行数据恢复 ,还是发现硬盘上曾保存过的涉密文件和从互联网上下载的信息。还有一个现象应引起特别注意:对于共用的笔记本电脑, 管理人员一般只负责设备的借出、收回和保存 , 并不过问硬盘上保存信息的涉密情况 ,也不对硬盘文件进行清理 , 特别容易造成一机两用和发生泄密问题。
2防范对策和配套管理教育手段
2.1行政手段
为使保密工作做到有法可依,有章可循。我们从完善管理制度建设入手,依据《保密法》、《保密资格认证标准》、集团、院等相关文件的要求,并结合我所实际,制定了切实可行的信息安全保密管理规定。在具体操作过程中,我们深深地体会到,制度执行情况的好坏,关键在于要切实落实保密领导责任制。为此,我所按照“业务谁主管,保密谁负责”的原则,所行政“一把手”与基层单位的部门领导签定了保密责任书,责任书明确了保密责任与义务。重点强调各级领导要按照“业务工作管到那里,保密工作就要管到那里”的要求,把保密工作贯穿到各项科研生产业务工作中,使保密工作与科研生产业务工作真正做到“五同时”。(五同时即:同计划、同部署、同检查、同奖惩、同总结)
与此同时,我们按照“谁使用,谁负责”的原则与涉密网络使用人逐一签定了保密承诺书,使每一位责任人在日常工作中时刻牢记保密这根弦,做好网络信息安全保密工作。
在此基础上,为了加强网络的安全管理,我们按要求建立了网络系统安全保密体系。所保密委员会是涉密计算机信息系统安全保密工作的主管部门,下设网络中心,负责局域网的运行维护管理。根据安全管理范围确定系统管理、安全管理、数据库管理以及密钥管理职责并相应配备了技术管理人员。在明确各自职责和权限的同时,制定了严格的操作规程来保证网络的安全运行状态。
2.2采取措施
在完善制度的同时,我们针对随时出现的新问题新情况,不断加强技术防范措施。我所加大了对计算机及计算机信息系统管理力度,采取了对涉密计算机进行密级界定、编号、确定责任人、粘贴标签,摘除调制解调器、软驱等一系列措施。尤其重点加强了对笔记本电脑管理,对全所笔记本电脑采取一律由机要室集中保管、登记造册、统一编号(保密编号)、责任到人的管理办法,同时制定了从购买到使用全过程的审批制度,并对流通环节实行闭环管理。在计算机上国际互联网方面也做了严格的规定。规定要求涉密计算机禁止连接互联网,全所只设一个对外信息发布窗口,实现了与互联网绝对物理隔离。在计算机上国际互联网的管理方面按照“谁上网、谁负责”的原则,建立、落实了对接入互联网计算机上网信息的保密管理制度,做到了“四专”,即上网计算机有专用房间、专用线路、专人负责、使用需办理专门手续。
随着近几年科研生产任务的日益繁重,网络信息的需求量不断增多,新的课题又摆在我们的面前。以前我所科技人员在互联网上仅仅是查阅资料,下载查询的情况鲜有发生,而今我们面临着大量的科技数据资料需要从国际网下载到涉密网中来,这样就产生了的矛盾,即涉密计算机及其网络严禁与国际互联网联接,涉密载体严禁联接上互联网计算机,非涉密载体严禁处理秘密信息等等。也就是说,下载资料后没有出口可以解决将资料拷贝到涉密网系统中来。针对这些问题,我们及时与上级主管业务部门进行沟通,共同寻找解决问题的办法。最后我所决定,采用专门的计算机进行管理,并配备经国家保密部门认可的网络隔离卡,把一台普通的计算机虚拟的划分成两台计算机,这样就避免了内网与外网相互混联,实现了安全环境和不安全环境的绝对物理隔离,满足了保密管理的要求。同时又配备了专用的存储载体和最新的杀毒软件。这些硬件设施的配备加上完善的使用下载审批制度构成了网络安全保密的又一道防线。
2.3管理教育手段
当前保密工作存在的突出问题,还是来自观念、思想认识方面的问题。这些思想意识问题同样在我所还没有得到彻底的解决,因此时有出现“保密工作说起来重要,干起来次要,忙起来不要”的现象。为彻底解决涉密人员对“保密”存在着的模糊思想和概念,不断提高涉密人员的保密意识,我们从实际出发,利用所网络作为传播的载体,以保密制度常提醒贴士作为对全所涉密人员进行保密知识的长期宣传教育的手段。目前我们已经发布了20多期,取得了很好的效果。
保密教育是基础,保密监督检查是手段,二者相互作用,缺一不可。为巩固保密成果,及时发现问题,解决问题。我所建立了保密工作监督检查制度。其主要内容是实行所、研究室(处)两级监督检查制度。为了有效规范地执行检查制度,同时建立了《保密自查标准》,该标准涵盖了保密教育、办公自动化设备使用、涉密载体使用管理、涉密计算机使用情况等自查内容。所属各单位按照《保密自查标准》,每周对本单位的保密工作进行自查,每月末将保密检查情况进行汇总,并填写《保密自查内容登记表》报保密办公室备查。根据上报情况保密办公室每月末对全所进行一次保密检查。
我们对检查过程中发现的一些“小”问题,也决不放过,真正做到了抓实抓细。比如:某研究室存在着人不在办公室,但涉密文件却随意摆放在桌上、计算机屏保密码设置不全等问题。针对这些情况,所保密管理机构及时与室主任进行沟通,对责任单位发出整改通知书,限期整改。同时对照所保密奖惩办法之条款对责任人进行经济处罚。并召开有主管所领导参加的现场会,布置整改措施,要求责任到人。通过现场会,对大家的触动很大,室主任代表全室职工表示:我们作为军工单位的职工,肩负着建设祖国国防事业的重任。尽管室里交叉任务多,但并不能因此就放松对保密工作的管理。在今后工作中,我们一定要牢固树立保密意识,时刻绷紧保密这根弦,克服麻痹思想,养成良好的保密习惯,确保不出现泄密问题。
通过开展检查活动,起到了很好的警示效果,也促使职工的保密意识得到了提高,极大地促进了各项保密规章制度的落实。同时也找出了差距,消除了隐患。为我所保密工作全面上水平奠定了坚实的基础。
3结束语
总之,我所各项保密管理工作得到了规范,基本上实现了制度化、科学化、规范化管理。但是我们还要看到我所保密工作特别是在涉密计算机信息系统仍存在很多不足之处,这是一项涉及面广、技术性强的工作,需要不断地学习和探索。在今后的工作中,我们还要继续严格执行国家有关涉密网络保密管理的规定和标准,并结合所科研生产工作的实际,进一步规范保密工作管理程序,使我们的保密工作更适应新形势,新任务的需要,为祖国的国防军工事业构筑一道坚实的保密防线。
(责任编辑:)
